<div dir="ltr">On Wed, Feb 3, 2016 at 7:57 AM Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br>> On 03-02-16 02:05, Ted Timmons wrote:<br>>> I'm logging alerts to eve-log. I'd like to get extended information<br>>> (such as tls.fingerprint or dns.rrname) in an alert entry. It seems they<br>>> don't show up unless I log all DNS or TLS traffic.<br> <br>>Can you share the eve-log section of your yaml?<br><br>Sure Victor- here it is.<br><br><div>outputs:</div><div>  - eve-log:</div><div>      enabled: yes</div><div>      type: syslog #file|syslog|unix_dgram|unix_stream</div><div>      identity: "suricata"</div><div>      facility: local5</div><div>      level: Warning ## possible levels: Emergency, Alert, Critical,</div><div>                   ## Error, Warning, Notice, Info, Debug</div><div>      types:</div><div>        - alert:</div><div>            tls: yes</div><div>            dns:</div><div>              extended: yes # added recently as an experiment</div><div>        - drop</div><div>        - ssh</div><div>  # further down in the outputs section:</div><div>  - syslog:</div><div>    enabled: yes # must be enabled for eve-log to work.</div><div>    facility: local5</div><div>  </div><div># here's part of my app-layer config:</div><div>app-layer:</div><div>  protocols:</div><div>    tls:</div><div>      enabled: yes</div><div>      detection-ports:</div><div>        dp: 443</div><div>      #no-reassemble: yes</div><div>    fileinfo:</div><div>      enabled: yes</div><div>    dns:</div><div><br></div><br></div>